2

ルーターが通過するすべてのパケットのコピーを送信するために使用する tzsp カプセル化を削除するために、'python で小さなスニファを作成しようとしています。問題は、ossim と snort を使用してトラフィックを分析し、パケットのカプセル化を解除して、snort がリッスンしている仮想インターフェイスに送信したいということです。

私はすでにスニファーを持っていますが、元のパケットを取得して送信するために tzsp ヘッダーを削除する方法が見つかりませんでした。他の人が perl でこれを行っているようですが、scapy で同じことを行う方法がわかりません。

基本的に最初の 5 バイトを削除します。

# --- TZSP バイトをカット my $tzspheader = substr $udp->{data}, 0, 5; 私の $tzspdata = substr $udp->{data}, 5;

完全な perl スクリプト -> http://wiki.mikrotik.com/wiki/Calea_perl_trafr

pkt scapy 形式を配列として使用できますか? ヘッダーを削除すると、パケットはルーターによって受信されたとおりになります。scapy を使用して直接それを無視できますか、それとも元のパケット プロトコルに従って空のパケットを作成し、各フィールドを新しいフィールドにコピーする必要がありますか?

皆さん、ありがとうございました

4

0 に答える 0